CEPD

Comité européen sur la protection des données (EDPB)

Note d’information sur les transferts de données en vertu du GDPR vers les États-Unis après l’adoption de la décision d’adéquation le 10 juillet 2023

Le CEPD a publié ce jour plusieurs documents concernant le cadre relatif au transfert vers les Etats-Unis, parmi lesquels une note d’information (et un guide de procédure) à propos des mécanismes de recours pour les personnes de l’UE/EEE en cas de violation présumée de la législation américaine concernant leurs données collectées par les autorités américaines compétentes en matière de sécurité nationale. L’objectif de ces documents est d’aider les personnes concernées à exercer leurs droits et leur donner de l’information sur les différents processus.

En guise d’introduction, le CEPD rappelle qu’un des éléments importants du cadre juridique américain, sur lequel se fonde la décision d’adéquation, est le décret 14086 intitulé « Enhancing Safeguards for United States Signals Intelligence Activities “2 (”E.O. 14086″), signé par le président américain Biden le 7 octobre 2022 et accompagné de règlements adoptés par le procureur général des États-Unis, ainsi que de politiques et de procédures pertinentes adoptées par le bureau du directeur du renseignement national et les agences de renseignement des États-Unis.
Ce décret a établi un nouveau mécanisme de recours dans le domaine de la sécurité nationale pour traiter et résoudre les plaintes des personnes concernées dans l’UE et l’EEE, alléguant l’accès et l’utilisation illicites de données par les activités de renseignement d’origine électromagnétique des États-Unis à leurs données personnelles qui ont été transmises de l’UE et de l’EEE vers les États-Unis. Ce mécanisme de recours s’applique quel que soit l’outil de transfert utilisé pour transférer les données à caractère personnel des plaignants vers les États-Unis ».

Disponible (en anglais) sur: edpb.europa.eu
Cette courte introduction est susceptible d’avoir été traduite de manière automatisée.

Comité européen sur la protection des données (EDPB)

Le rapport annuel de l’EDPB 2023 est désormais disponible !

En 2023, l’EDPB a continué à donner d’importantes interprétations communes de la législation sur la protection des données et des principes juridiques clés qui façonnent le paysage numérique. Il a également pris une série d’initiatives pour stimuler la coopération en matière d’application de la législation, a adopté des avis importants sur des projets de législation et a lancé un guide pour les petites entreprises. En mai 2023, Anu Talus a été élue présidente de l’EDPB pour cinq ans, succédant à Andrea Jelinek, qui a été présidente de 2018 à 2023. Pour en savoir plus sur le travail de l’EDPB au cours de l’année écoulée, n’hésitez pas à cliquer sur le lien ci-dessous!

Disponible (en anglais) sur: edpb.europa.eu
Cette courte introduction est susceptible d’avoir été traduite de manière automatisée.

Comité européen sur la protection des données (EDPB)

Comment notifier une violation de données à votre autorité de protection des données ?

Toutes les violations de données susceptibles de présenter un risque pour les personnes doivent être notifiées à l’autorité de protection des données compétente.
Si la violation a lieu dans le cadre d’un traitement transfrontalier, le responsable du traitement devra notifier l’autorité de protection des données chef de file ou, au minimum, l’autorité de protection des données locale où la violation a eu lieu. Lorsqu’un responsable du traitement n’a pas d’établissement principal dans l’EEE, la violation devra être notifiée à toutes les autorités de protection des données pour lesquelles les personnes concernées résident dans leur pays.

Pour faciliter la réalisation de ces notifications, les autorités de protection des données ont mis en place des procédures et des formulaires en ligne qui vous guident tout au long de ce processus, que le Comité européen a rassemblé sur la page accessible ci-dessous.

Disponible (en anglais) sur: edpb.europa.eu
Cette courte introduction est susceptible d’avoir été traduite de manière automatisée.

Contrôleur européen de la protection de données (EDPS)

L’utilisation de Microsoft 365 par la Commission européenne enfreint la législation sur la protection des données pour les institutions et organes de l’UE

computer with people sitting on it. Vectorial image.

Le Contrôleur a constaté que la Commission européenne a enfreint plusieurs dispositions du règlement (UE) 2018/1725, la loi de l’UE sur la protection des données pour les institutions, organes et organismes de l’UE (IUE), y compris celles relatives aux transferts de données à caractère personnel en dehors de l’UE/de l’Espace économique européen (EEE). En particulier, la Commission n’a pas prévu de garanties appropriées pour assurer que les données à caractère personnel transférées en dehors de l’UE/EEE bénéficient d’un niveau de protection essentiellement équivalent à celui garanti dans l’UE/EEE. En outre, dans son contrat avec Microsoft, la Commission n’a pas suffisamment précisé quels types de données à caractère personnel doivent être collectés et pour quelles finalités explicites et spécifiées dans le cadre de l’utilisation de Microsoft 365. Les infractions commises par la Commission en tant que responsable du traitement des données concernent également le traitement des données, y compris les transferts de données à caractère personnel, effectué en son nom.

En conséquence, le Contrôleur a décidé d’ordonner à la Commission, avec effet au 9 décembre 2024:
* de suspendre tous les flux de données résultant de son utilisation de Microsoft 365 vers Microsoft et vers ses filiales et sous-traitants situés dans des pays en dehors de l’UE/EEE qui ne sont pas couverts par une décision d’adéquation.
*de mettre les opérations de traitement résultant de son utilisation de Microsoft 365 en conformité avec le règlement (UE) 2018/1725.

La Commission doit démontrer qu’elle s’est conformée aux deux ordonnances d’ici le 9 décembre 2024. Le CEPD considère que les mesures correctives qu’il impose (voir l’annexe pour un extrait détaillé) sont appropriées, nécessaires et proportionnées à la lumière de la gravité et de la durée des infractions constatées.

Disponible (en anglais) sur: edps.europa.eu
Cette courte introduction est susceptible d’avoir été traduite de manière automatisée.

Contrôleur européen de la protection de données

Action coordonnée pour l’application de la législation: le droit d’accès aux données à caractère personnel

phone, lock, password to symbolise the right of access

Le Contrôleur européen participe à l’action coordonnée d’exécution du Comité européen de la protection des données (CEPD) sur la manière dont le droit d’accès des personnes est abordé spécifiquement dans les institutions, organes et organismes de l’UE, aux côtés des 27 autres autorités de protection des données (APD) dans l’ensemble de l’Espace économique européen (EEE).

Le droit d’accès est au cœur de la protection des données, permettant aux particuliers de vérifier si leurs données à caractère personnel sont traitées de manière conforme par des organisations ou des IUE, ce qui permet souvent l’exercice de leurs autres droits, tels que le droit de rectification ou d’effacement des données. Il s’agit donc de l’un des droits les plus fréquemment exercés en matière de protection des données et pour lequel les APD reçoivent de nombreuses plaintes chaque année.

Disponible (en anglais) sur: edps.europa.eu
Cette courte introduction est susceptible d’avoir été traduite de manière automatisée.

CEPD

L’EDPB a lancé son action coordonnée de mise en œuvre 2024 ! Dans les mois à venir, 31 autorités de protection des données de l’EEE examineront ensemble la mise en œuvre du droit d’accès.

Le Comité européen de la protection des données a donné le coup d’envoi de son action pour le Cadre coordonné d’exécution (CCE) pour 2024. Tout au long de l’année, 31 autorités de protection des données (DPA), dont 7 DPA au niveau de l’État allemand, à travers l’EEE participeront à cette initiative sur la mise en œuvre du droit d’accès.

Lors de sa séance plénière d’octobre 2023, l’EDPB a choisi le droit d’accès pour sa troisième action coordonnée de mise en œuvre, car il est au cœur de la protection des données et constitue l’un des droits de protection des données les plus fréquemment exercés et au sujet duquel les autorités de protection des données reçoivent de nombreuses plaintes. Il permet notamment aux personnes de vérifier si leurs données à caractère personnel sont traitées de manière conforme par les organisations. En outre, il permet souvent d’exercer les autres droits relatifs à la protection des données, tels que le droit de rectification et d’effacement.

Disponible (en anglais) sur: edpb.europa.eu
Cette courte introduction est susceptible d’avoir été traduite de manière automatisée.

CEPD

Le CEPD clarifie la notion d’établissement principal et demande aux législateurs européens de s’assurer que le règlement CSAM respecte les droits à la vie privée et à la protection des données.

Nous l’avions annoncé, c’est désormais chose faite ! Lors de sa dernière session plénière, l’EDPB a adopté un avis sur la notion d’établissement principal et sur les critères d’application du mécanisme de guichet unique, à la suite d’une demande formulée au titre de l’article 64, paragraphe 2, du GDPR par l’autorité française de protection des données (DPA). 64(2) GDPR par l’Autorité française de protection des données (DPA). L’avis clarifie la notion d' »établissement principal » d’un responsable du traitement dans l’UE, en particulier dans les cas où les décisions concernant le traitement sont prises en dehors de l’UE.

Dans son avis, le CEPD considère que le « lieu d’administration centrale » d’un responsable du traitement dans l’UE ne peut être considéré comme un établissement principal au sens de l’art. 4(16)(a) GDPR que s’il prend les décisions sur les finalités et les moyens du traitement des données personnelles et s’il a le pouvoir de faire appliquer ces décisions. Le CEPD explique en outre que le mécanisme du guichet unique ne peut s’appliquer que s’il est prouvé que l’un des établissements du responsable du traitement dans l’Union prend des décisions sur les finalités et les moyens des opérations de traitement concernées et a le pouvoir de faire appliquer ces décisions. Cela signifie que, lorsque les décisions relatives aux finalités et aux moyens du traitement sont prises en dehors de l’UE, il ne devrait pas y avoir d’établissement principal du responsable du traitement dans l’Union et, par conséquent, le mécanisme du guichet unique ne devrait pas s’appliquer.

Disponible (en anglais) sur: edpb.europa.eu L’avis complet est également disponible (en anglais)
Cette courte introduction est susceptible d’avoir été traduite de manière automatisée.

CEPD

🗓️Mardi prochain, le Comité européen sur la protection des données se réunit pour sa session plénière de février. Entre autres,  le CEPD discutera d’un avis sur l’art. 64(2) sur la notion d’établissement principal dans la détermination de l’autorité de contrôle compétente. Le modèle du « Pay or okay » développé par Meta sera lui aussi le sujet de nouvelles discussions.

Disponible (en anglais) sur : edpb.europa.eu
Cette courte introduction est susceptible d’avoir été traduite de manière automatisée.

CEPD

Le CEPD lance un outil d’audit de sites web.

Le CEPD a lancé un outil d’audit de site web qui peut être utilisé pour aider à analyser si les sites web sont conformes à la loi. L’outil a été développé dans le cadre du groupe d’experts de soutien de l’EDPB et peut être utilisé par les auditeurs juridiques et techniques des autorités de protection des données (DPA), ainsi que par les responsables du traitement et les sous-traitants qui souhaitent tester leurs propres sites web. L’outil est un logiciel libre et open source sous licence EUPL 1.2 et peut être téléchargé sur code.europa.eu. Le code source est disponible ici.

Selon le CEPD, le nouvel outil permet de préparer, d’effectuer et d’évaluer des audits directement dans l’outil par une simple visite du site web en question. L’outil est également compatible avec d’autres outils, tels que le collecteur d’éléments probants du site web du CEPD, et permet aux auditeurs d’importer et d’évaluer les résultats des audits réalisés avec ces outils. Enfin, l’outil peut générer des rapports.

Disponible (en anglais) sur: edpb.europa.eu
Cette courte introduction est susceptible d’avoir été traduire de manière automatisée.

Retour en haut